Los actores de amenazas detrás de Black Basta familia de ransomware Se ha observado el uso del troyano Qakbot para implementar el marco Brute Ratel C4 como una carga útil de segunda etapa en ataques recientes.
El desarrollo marca la primera vez que el incipiente software de simulación de adversarios se entrega a través de una infección de Qakbot, la firma de ciberseguridad Trend Micro dijo en un análisis técnico publicado la semana pasada.
La intrusión, lograda mediante un correo electrónico de phishing que contenía un enlace armado que apuntaba a un archivo ZIP, implicó además el uso de Cobalt Strike para el movimiento lateral.
Si bien estas utilidades legítimas están diseñadas para realizar actividades de pruebas de penetración, su capacidad para ofrecer acceso remoto las ha convertido en una herramienta lucrativa en manos de atacantes que buscan sondear sigilosamente el entorno comprometido sin llamar la atención durante largos períodos de tiempo.
Esto se ha visto agravado por el hecho de que un versión agrietada of Brute Ratel C4 comenzó a circular el mes pasado entre los delincuentes cibernéticos clandestinos, lo que llevó a su desarrollador a actualizar el algoritmo de licencias para que sea más difícil de romper.
Qakbot, también llamado QBot y QuackBot, es un ladrón de información y un troyano bancario que se sabe que está activo desde 2007. Pero su diseño modular y su capacidad para actuar como descargador lo han convertido en un candidato atractivo para colocar malware adicional.
Según Trend Micro, el archivo ZIP en el correo electrónico contiene un archivo ISO que, a su vez, incluye un archivo LNK que obtiene la carga útil de Qakbot, lo que ilustra los intentos por parte de los actores de amenazas de adaptarse a otras tácticas a raíz de la decisión de Microsoft de bloquear las macros de forma predeterminada para los documentos descargados de la web.
La infección de Qakbot es reemplazada por la recuperación de Brute Ratel y Cobalt Strike, pero no antes de realizar un reconocimiento automatizado a través de herramientas de línea de comandos integradas como arp, ipconfig, nslookup, netstat y whoami.
Sin embargo, el ataque se detuvo antes de que el actor de amenazas pudiera tomar cualquier acción maliciosa, aunque se sospecha que el objetivo final puede haber sido la implementación de ransomware en todo el dominio.
En otra cadena de ejecución de Qakbot detectada por la empresa de ciberseguridad, el archivo ZIP se entrega a través de un método cada vez más popular llamado contrabando de HTML, lo que resulta en la ejecución de Brute Ratel C4 como segunda etapa.
«La cadena de eliminación de Qakbot a Brute Ratel a Cobalt Strike está asociada con el grupo detrás del Black Basta Ransomware», dijeron los investigadores. «Esto se basa en la superposición de TTP e infraestructura observada en los ataques de Black Basta».
Los hallazgos coinciden con un resurgimiento de los ataques de Qakbot en los últimos meses por medio de una variedad de técnicas como Archivos adjuntos HTML, Carga lateral de DLLy secuestro de hilos de correo electrónicoel último de los cuales implicó recolectar correos electrónicos en masa de ataques exitosos de ProxyLogon dirigidos a servidores de Microsoft Exchange.
Los actores de IcedID diversifican los métodos de entrega
Qakbot está lejos de ser el único malware de acceso como servicio que se distribuye cada vez más a través de ISO y otros formatos de archivo para sortear las restricciones de macros, ya que las campañas de Emotet, IcedID y Bumblebee han seguido trayectorias similares.
Unidad 42 de Palo Alto Networks, a fines de septiembre de 2022, dijo descubrió un archivo malicioso políglota Microsoft Compiled HTML Help (CHM) que se usaba para entregar el malware IcedID (también conocido como BokBot).
Otros métodos de entrega y vías de infección importantes han implicado el uso de archivos ZIP protegidos con contraseña que contienen un archivo ISO, que refleja el de Qakbot, con la carga útil propagada a través de un servicio de pago por instalador conocido como PrivateLoader, según Equipo Cymru.
Y, para colmo, Emotete parece estar preparándose para un nuevo conjunto de ataques después de una breve pausa de tres meses para reelaborar su módulo «systeminfo» para «mejorar la orientación de víctimas específicas y distinguir los bots de seguimiento de los usuarios reales», ESET revelado en una serie de tuits.
«No hemos visto nuevas olas de spam de Emotet desde julio», dijo Jean-Ian Boutin, director de investigación de amenazas de ESET, a The Hacker News. «No está claro por qué».
«Tomaron algunos descansos en el pasado, pero nunca por tanto tiempo. Tal vez este nuevo módulo signifique que están probando módulos y estarán activos nuevamente en un futuro cercano, pero esto, por supuesto, es una especulación».